Дьявольщина по Azov-ски: новый вайпер повреждает файлы по 666 байт за раз

Недавно обнаруженная программа-вымогатель Azov Ransomware по-прежнему активно распространяется по всему миру, и сейчас окончательно доказано, что она представляет собой средство очистки данных, которое преднамеренно уничтожает данные жертв и заражает другие программы.

Записка о выкупе выдавала операторов программы-вымогателя за исследователей кибербезопасности из BleepingComputer, MalwareHunterTeam и AdvIntel . Из-за того, что записка не содержала каких-либо контактов злоумышленников для оплаты выкупа, эксперты рассматривали это вредоносное ПО как вайпер , а не как программу-вымогатель.

На прошлой неделе исследователь безопасности Checkpoint Йиржи Винопал проанализировал Azov Ransomware и подтвердил, что эта вредоносная программа специально создана для повреждения данных.

В ходе экспериментов экперт выяснил, что вредоносная программа включает себя время срабатывания, которое заставляло ее бездействовать на устройствах жертвы до 27 октября 2022 года, 10:14:30 по всемирному координированному времени, что затем вызывало повреждение всех данных на устройстве.

Винопал сказал, что Azov перезаписывает содержимое файла и повреждает данные, чередуя 666-байтовые фрагменты ненужных данных. Каждый цикл ровно 666 байт перезаписываются случайными (неинициализированными данными), а следующие 666 байт остаются исходными.

Это работает в цикле, поэтому структура очищенного файла будет выглядеть так: 666 байт мусора, 666 байт оригинала, 666 байт мусора, 666 байт оригинала и т. д.

Повреждение данных при чередовании 666 байтов

Более того, вайпер заражает другие 64-разрядные исполняемые файлы на устройстве Windows, у которых путь к файлу не содержит следующих строк:

• :Windows
• ProgramData
• cache2entries
• LowContent.IE5
• User DataDefaultCache
• Documents and Settings
• All Users

При заражении исполняемого файла вредоносное ПО внедряет код, который вызывает запуск вайпера при запуске безобидного на первый взгляд исполняемого файла. Одни и те же шелл-коды, используемые для заражения, каждый раз кодируются по-разному.

Вредоносное ПО Azov было обнаружено в октябре, однако, только за один день на VirusTotal было загружено около 120 экземпляров

Загрузки вредоносных файлов на VirusTotal

На данный момент причина распространения вайпера непонятна. Тем не менее, предположения экспертов начинаются от того, чтобы скрыть другое злонамеренное поведение или просто «поиграть» с сообществом кибербезопасности.

Стоит отметить, что жертвы Azov Ransomware не смогут восстановить свои файлы. А поскольку другие исполняемые файлы тоже заражаются, необходимо переустановить Windows, чтобы быть в безопасности.

Хотя вредоносное ПО названо в честь украинского военного полка «Азов», она, скорее всего, не связана с Украиной и просто использует это название для отвлечения внимания.